信息安全管理 第06讲 网络安全技术

第06讲网络安全技术第第0606讲讲网络安全技术网络安全技术1引言•意义：–信息安全主要内容–信息安全管理重要技术保证•内容–网络安全技术–网络的攻与防–网络漏洞和补丁•范围：–认证机制：PKI–访问控制：FW、–保密通信：IPSec、SSL、SHTTP、SMIME–各种网络攻防技术2防火墙•基本概念•关键技术•体系结构•网络隔离基本概念•防火墙概念–WilliamCheswick和SteveBeilovin（1994）：防火墙是放置在两个网络之间的一组组件，这组组件共同具有下列性质：•只允许本地安全策略授权的通信信息通过•双向通信信息必须通过防火墙•防火墙本身不会影响信息的流通–防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。•防火墙缺陷–使用不便，认为防火墙给人虚假的安全感–对用户不完全透明，可能带来传输延迟、瓶颈及单点失效–不能替代墙内的安全措施•不能防范恶意的知情者•不能防范不通过它的连接•不能防范全新的威胁•不能有效地防范数据驱动式的攻击•当使用端-端加密时，其作用会受到很大的限制•防火墙分类–软件防火墙、硬件防火墙–Windows、Linux防火墙–主机防火墙、网络防火墙–基于不同技术的防火墙关键技术•数据包过滤–依据事先设定的过滤规则，对所接收的每个数据包做允许拒绝的决定。•数据包过滤优点：–速度快，性能高–对用户透明•数据包过滤缺点：–维护比较困难(需要对TCP/IP了解）–安全性低（IP欺骗等）–不提供有用的日志，或根本就不提供–不防范数据驱动型攻击–不能根据状态信息进行控制–不能处理网络层以上的信息–无法对网络上流动的信息提供全面的控制互连的物理介质应用层表示层会话层传输层应用层表示层会话层传输层网络层数据链路层物理层网络层数据链路层物理层网络层数据链路层物理层•NAT（NetworkAddressTranslation）–网络地址转就是在防火墙上装一个合法IP地址集，然后•当内部某一用户要访问Internet时，防火墙动态地从地址集中选一个未分配的地址分配给该用户；•同时，对于内部的某些服务器如Web服务器，网络地址转换器允许为其分配一个固定的合法地址。–地址翻译主要用在两个方面：•网络管理员希望隐藏内部网络的IP地址。这样互联网上的主机无法判断内部网络的情况。•内部网络的IP地址是无效的IP地址。这种情况主要是因为现在的IP地址不够用，要申请到足够多的合法IP地址很难办到，因此需要翻译IP地址。202.112.108.5010.0.0.108目的IP源IP202.112.108.50202.112.108.3目的IP源IP202.112.108.3202.112.108.50目的IP源IP10.0.0.108202.112.108.50目的IP源IP防火墙网关•应用层代理–网关理解应用协议，可以实施更细粒度的访问控制–对每一类应用，都需要一个专门的代理–灵活性不够客户网关服务器发送请求转发请求请求响应转发响应•电路级网关–拓扑结构同应用程序网关相同–接收客户端连接请求，代理客户端完成网络连接–在客户和服务器间中转数据–通用性强体系结构•双宿主主机体系–双重宿主主机的特性：•安全至关重要（唯一通道），其用户口令控制安全是关键。•必须支持很多用户的访问（中转站），其性能非常重要。–缺点：双重宿主主机是隔开内外网络的唯一屏障，一旦它被入侵，内部网络便向入侵者敞开大门。InternetInternet防火墙双重宿主主机内部网络……•屏蔽主机体系–屏蔽主机体系结构由防火墙和内部网络的堡垒主机承担安全责任。一般这种防火墙较简单，可能就是简单的路由器。–典型构成：包过滤路由器＋堡垒主机。•包过滤路由器配置在内部网和外部网之间，保证外部系统对内部网络的操作只能经过堡垒主机。•堡垒主机配置在内部网络上，是外部网络主机连接到内部网络主机的桥梁，它需要拥有高等级的安全。防火墙堡垒主机因特网•屏蔽子网体系–屏蔽子网体系结构在本质上与屏蔽主机体系结构一样，但添加了额外的一层保护体系——周边网络。堡垒主机位于周边网络上，周边网络和内部网络被内部路由器分开。–原因：堡垒主机是用户网络上昀容易受侵袭的机器。通过在周边网络上隔离堡垒主机，能减少在堡垒主机被侵入的影响。InternetInternet周边网络内部网络……外部路由器堡垒主机内部路由器•周边网络是一个防护层，在其上可放置一些信息服务器，它们是牺牲主机，可能会受到攻击，因此又被称为非军事区（DMZ）。•周边网络的作用：即使堡垒主机被入侵者控制，它仍可消除对内部网的侦听。例:netxray等的工作原理。•堡垒主机–堡垒主机位于周边网络，是整个防御体系的核心。–堡垒主机可被认为是应用层网关，可以运行各种代理服务程序。–对于出站服务不一定要求所有的服务经过堡垒主机代理，但对于入站服务应要求所有服务都通过堡垒主机。网络隔离•物理隔离的指导思想与防火墙绝然不同：防火墙的思路是在保障互联互通的前提下，尽可能安全，而物理隔离的思路是在保证必须安全的前提下，尽可能互联互通。•一个典型的物理隔离方案（处于完全隔离状态）互联网外部服务器内部服务器存储设备物理隔离控制设备集线器内部网络•一个典型的物理隔离方案（隔离设备处于与外网相连状态）互联网外部服务器内部服务器存储设备物理隔离控制设备集线器内部网络非TCP/IP连接原始数据•一个典型的物理隔离方案（隔离设备处于与内网相连状态）互联网外部服务器内部服务器存储设备物理隔离控制设备集线器非TCP/IP连接原始数据•物理隔离不足–物理隔离也存在许多弊端。例如，内网用户就无法使用丰富的国际互联网的各种资源，譬如查询资料和国际电子邮件，而对于用户来说，这些又是对工作非常需要的。另外，要做到真正的物理上的隔离，还会导致投资成本的增加，占用较大办公空间。而且如果使用两台机器分别接入内网和公网的话，还存在网络设置复杂、维护难度较大的问题。3VPN•基本概念•IPSec•IKE•SSL基本概念•VPN的定义：–是指依靠ISP或其他NSP在公用网络基础设施之上构建的专用的数据通信网络，这里所指的公用网络有多种，包括IP网络、帧中继网络和ATM网络。–虚拟＋专用网–IETF对基于IP的VPN定义：使用IP机制仿真出一个私有的广域网。数据网总部远程访问服务器分支机构服务器适配器专用通道适配器•VPN分类–按VPN业务类型划分：•IntranetVPN（内部公文流转）•AccessVPN（远程拨号VPN）•ExtranetVPN（各分支机构互联）–按VPN发起主体划分：•客户发起，也称基于客户的VPN•服务器发起，也称客户透明方式或基于网络的VPN–按隧道协议层次划分：•二层隧道协议：L2F/L2TP、PPTP•三层隧道协议：GRE（通用路由封装协议）、IPSec•介于二、三层间的隧道协议：MPLS•基于SOCKSV5的VPN–此外，根据VPN实现方式不同，还可进一步分为软件实现和硬件实现等。•VPN技术–隧道技术•隧道是在公共通信网络上构建的一条数据路径，可以提供与专用通信线路等同的连接特性。•隧道使用隧道协议来封装数据。一种协议X的数据报被封装在协议Y中，可以实现协议X在公共网络的透明传输。这里协议X称作被封装协议，协议Y称为封装协议。隧道的一般封装格式为(协议Y(隧道头(协议X)))。–密钥管理•VPN技术的开放性预示着必须采用各种公开密码算法，这样算法的安全强度不能依赖于算法本身，只能依靠密钥的机密性。大规模部署VPN，也离不开自动密钥管理协议的支持。•VPN系统中常用的几种密钥管理协议包括：IKE协议、SKIP协议、Kerberos协议。IPSec•IPSec体系–IPSec协议提供的安全服务包括：访问控制、无连接完整性、数据源鉴别、重传攻击保护、机密性、有限的流量保密等。封装安全载荷(ESP)体系加密算法解释域图IPSec安全体系结构认证头(AH)认证算法密钥交换与管理IKE安全关联SAike定义了安全参数如何协商,以及共享密钥如何建立,但它没有定义的是协商内容.这方面的定义是由解释域(doi)文档来进行的原IP头数据AH头图AH的格式TCP头认证的(IP头中可变字段除外)IPv4传输模式安全参数索引(SPI)序列号认证数据(32比特的整数倍)下一负载头标(8)净载荷长度(8)保留(16)•AH和ESPIPv4传输模式原IP头数据ESP头部ESP尾部ESP认证数据图ESP格式TCP头加密的认证的ESP净载荷~~填充(0-255字节)ESP净载荷(变长)安全参数索引SPI(32比特)序列号(32比特)认证数据(长度可变)下一负载头标(8比特)填充长度(8比特)图IPSec传输模式下的AH、ESP数据封装格式主机A数据BA经认证(加密)的数据原IP头信息(源地址A目的地址B)主机BIP分组数据BAIPv4ESP传输模式数据ESP头部ESP尾部ESP认证数据TCP头加密的认证的数据TCP头原IP数据包IPv4AH传输模式原IP头AHTCP头数据认证的(原IP头的可变字段除外)原IP头原IP头•IPSec模式图IPSec隧道模式下的AH、ESP的数据封装格式原IP头信息(源地址B、目的地址A)主机AIP分组(SPD)VPN网关X数据BA数据BA数据BA数据BA(SPD)VPN网关X主机B经认证(加密)的数据数据BAYX数据BAYX新IP头信息(源地址Y、目的地址X)IPv4AH隧道模式新IP头IPv4ESP隧道模式原IP头数据ESP头部ESP尾部ESP认证数据TCP头加密的认证的原IP包VPN隧道新IP头原IP头AHTCP头数据认证的(新IP头的可变字段除外)原IP头TCP头数据•SADB–SA(SecurityAssociation)：是两个IPSec通信实体之间经协商建立起来的一种共同协定，它规定了通信双方使用哪种IPSec协议保护数据安全、应用的算法标识、加密和验证的密钥取值以及密钥的生存周期等等安全属性值。–SP是一个描述规则，定义了对什么样的数据流实施什么样的安全处理，至于安全处理需要的参数在SP指向的一个结构SA中存储。•IPSec流程–数据包输出处理•数据包被从网络设备发送出去之前，截取到IP包，然后从中提取选择符信息，依据之搜索SPD，产生如下可能结果：–SP决定丢弃此包，于是直接丢弃，或者还可以向源主机发送ICMP信息；–SP决定通过此包，直接将数据包投放到网络设备的发送队列；–SP决定应用IPSec，此时SP要么指向一个SA,可以根据它进行安全处理，要么需要的SA不存在，则触发IKE模块协商建立SA，协商周期内数据包进入等待队列等待协商完成，若协商超时，也会丢弃该包。–数据包输入处理•系统收到IP包后，判断如果是IPSec包，则从头部取到dst_ip,protocol,SPI，搜索SADB。–若找不到SA，丢弃包；–若找到，根据其进行解封装，得到去通道化后的原始IP包，再从原始IP包中提取选择符，搜索到SPD中某一条目，检查收到包的安全处理是否符合描述规则，不符合则丢弃包，符合则转入系统IP协议栈进行后继处理。IKE•IKE的两个阶段–阶段一交换(phase1exchange):在“阶段一”周期里，两个IKE实体建立一个安全的，经验证的信道进行后续通信，要建立这样的安全信道，双方会建立一对ISAKMP安全联盟。阶段一交换可以用身份保护模式(也叫主模式)或野蛮模式来实现，而这两种模式也仅用于阶段一中。–阶段二交换(phase2exchange):“阶段二”周期里，IKE实体会在阶段一建立起来的安全信道中，为某种进程协商和产生需要的密钥材料和安全参数，在VPN实现中，就是建立IPSec安全联盟。快速模式交换可用来实现阶段二交换并且仅用于此阶段中。–身份保护模式•(1)发起者生成他认为适当的安全提案列表，提交给响应方。•(2)响应者与本地策略进行匹配和选择之后，将